Di recente AnyRun, una famosa piattaforma che offre una sandbox interattiva per l’analisi di malware, ha pubblicato un’analisi tecnica di una nuova versione di xWorm, un Trojan per l’accesso remoto (RAT) venduto come malware-as-a-service e noto per la sua vasta gamma di funzionalità pericolose.
Questo malware viene venduto sui forum darknet e attraverso l’applicazione Telegram.
Il nostro Malware Lab ha dunque iniziato a monitorare le sottomissioni pubbliche sulla sandbox di AnyRun per accertare quanto questa nuova versione abbia iniziato a diffondersi.
Effettivamente sono stati rilevati diversi campioni che hanno lo stesso comportamento riscontrato nella nuova variante.
In linea con le caratteristiche dei RAT, il client procede a connettersi ad un server e viene identificato generando un hash (ovvero, una sequenza di caratteri casuale) di alcune informazioni del sistema. Quindi, il client rimarrà in attesa che dal server vengano inviati comandi remoti.
Se desideri approfondire ecco il link al nostro report completo.
Inoltre, puoi registrarti alla mailing list specifica, per ricevere aggiornamenti sui prossimi report:
https://www.defencetech.it/mailing-list-malware-report
